Các giao thức cầu nối xuyên chuỗi Chuỗi lần nữa trở thành "miếng mồi ngon" cho tin tặc. Tối Chủ nhật, CrossCurve đã đưa ra thông báo khẩn cấp trên nền tảng X của mình, xác nhận rằng các hợp đồng thông minh của họ đã bị tấn công và khoảng 3 triệu đô la đã bị đánh cắp trên nhiều mạng blockchain. Giao thức này yêu cầu tất cả người dùng ngay lập tức tạm ngừng mọi tương tác với CrossCurve và đang tiến hành một cuộc điều tra toàn diện.
Phương thức tấn công: Ngụy tạo các tin nhắn xuyên Chuỗi để vượt qua quá trình xác minh cổng.
Theo Defimon Alerts, blockchain thuộc Decurity, kỹ thuật cốt lõi của cuộc tấn công lần là khai thác lỗ hổng trong hợp đồng CrossCurve ReceiverAxelar. Kẻ tấn công đã vượt qua cơ chế xác minh của cổng Axelar bằng cách giả mạo các thông điệp ngụy tạo Chuỗi để gọi hàm expressExecute, trực tiếp kích hoạt thao tác mở khóa trên hợp đồng PortalV2.
Tóm lại, kẻ tấn công không cần phải thực sự hoàn tất giao dịch chuyển tiền xuyên Chuỗi; chúng chỉ cần sử dụng một tin nhắn giả mạo để đánh lừa hợp đồng tin rằng nó đã nhận được một yêu cầu chuyển tiền xuyên Chuỗi hợp lệ, từ đó giải phóng số tiền bị khóa. Đây là một lỗ hổng bảo mật điển hình trong giai đoạn xác minh tin nhắn của kiến trúc cầu nối xuyên chuỗi— một khi quá trình xác minh bị vượt qua, toàn bộ hệ thống bảo mật tiền sẽ gần như không còn tồn tại.
Giám đốc điều hành đã đưa ra tối hậu thư.
CEO của CrossCurve, Boris Povar, đã nhanh chóng phản hồi sau sự cố, công bố tên của 10 địa chỉ ví đã nhận được token bị đánh cắp và gửi một thông điệp rõ ràng tới những kẻ tấn công: nếu số tiền được trả lại trong vòng 72 giờ, 10% sẽ được giữ lại làm phần thưởng cho việc tìm ra lỗi.
Povar có nghĩa là:
"Token này đã bị lấy cắp trái phép từ người dùng do lỗ hổng trong hợp đồng thông minh."
Ông cũng cảnh báo rằng nếu số tiền không được hoàn trả trong thời hạn quy định, CrossCurve sẽ xử lý vụ việc như một vụ kiện, khởi tố, đóng băng tài sản và hợp tác đầy đủ với các cơ quan thực thi pháp luật để điều tra.
Curve Finance đã đưa ra cảnh báo khuyên người dùng rút lại phiếu bầu của mình.
Curve Finance, với tư cách là đối tác, cũng ngay lập tức cảnh báo người dùng, đề nghị họ xem xét lại và cân nhắc rút lại phiếu bầu của mình cho các nhóm thanh khoản của CrossCurve. Điều này có nghĩa là tác động của sự kiện lần có thể không chỉ giới hạn ở CrossCurve; toàn bộ hệ sinh thái DeFi tích hợp với nó cần phải đánh giá mức độ rủi ro.
Bảo mật cầu nối xuyên chuỗi: Điểm yếu chí mạng của DeFi
Cầu nối xuyên chuỗi luôn nằm trong số những cơ sở hạ tầng dễ bị tổn thương nhất trong không gian DeFi. Từ vụ trộm 320 triệu đô la từ Wormhole năm 2022 và vụ tấn công 625 triệu đô la vào Ronin Bridge cho đến sự cố CrossCurve lần, các vấn đề bảo mật của cầu nối xuyên chuỗi vẫn chưa được giải quyết.
Lý do cốt lõi là cầu nối xuyên chuỗi phải truyền tải và xác minh thông điệp giữa blockchain khác nhau, một quá trình có bề mặt tấn công lớn hơn nhiều so với các ứng dụng Chuỗi đơn. Sự cố CrossCurve lần là lời nhắc nhở cho người dùng: trước khi sử dụng các dịch vụ liên Chuỗi, hãy luôn xác minh hồ sơ kiểm toán bảo mật của giao thức và tránh lưu trữ số tiền lớn trong các hợp đồng cầu nối xuyên chuỗi trong thời gian dài.
